Visitez notre kiosque à CANSEC les 27-28 mai
Livres blancs
·
16.06.2020

Analyse rançongiciel : quand votre serveur mine des bitcoins à votre insu

Icone PDF Analyse d'une cyberattaque de minage BITCOINS

Une adresse IP suspecte tente de communiquer avec un serveur web interne. Un événement banal qui aurait pu passer inaperçu dans le flot quotidien d'activités réseau. Notre approche proactive de surveillance continue a permis d'intercepter une attaque de cryptominage avant qu'elle ne cause des dommages importants.

La détection avant l'alerte

Contrairement aux services SOC traditionnels qui réagissent uniquement lorsqu'une alerte se déclenche, notre équipe fouille activement et en continu dans les réseaux surveillés. Cette vigilance constante a permis de repérer une communication douteuse entre l'IP malveillante 167.99.214.206 et un serveur web client. L'analyse du fichier PCAP capturé par notre technologie CDS révèle une requête GET particulièrement vicieuse.

Un exploit caché dans une URL

L'attaquant déguise son exploit en simple requête vers index.php, mais l'URL contient en réalité un script Shell complet. Le code malveillant exploite la fonction shell_exec de PHP pour exécuter une séquence d'actions à distance: se déplacer dans le répertoire temporaire, télécharger un script nommé ex.sh depuis un serveur distant, s'octroyer tous les privilèges, puis exécuter le script.

Le vol silencieux de ressources

Une fois déclenché, le script télécharge deux outils de minage, mcoin et mcoin-ankit, configurés pour consommer jusqu'à 95 pourcent du processeur de la machine compromise. Ces processus établissent une connexion persistante vers le serveur de commande sur le port 3333, le port standard pour le minage de cryptomonnaie. Le serveur compromis travaille jour et nuit pour générer des bitcoins qui enrichissent l'attaquant, tout en causant une surchauffe massive, des ralentissements critiques et une facture d'électricité astronomique pour la victime.

Effacement des traces

L'attaque se termine par une opération de nettoyage. Le script ex.sh s'efface automatiquement après avoir lancé les processus de minage, rendant la détection post-infection beaucoup plus difficile. Les attaquants déplacent également leurs outils malveillants de serveur en serveur pour échapper aux radars de sécurité.

Nos investigations ont révélé que cette infrastructure malveillante demeure active et cible activement d'autres serveurs web vulnérables. Le rapport complet détaille la chaîne d'infection, les serveurs de commande identifiés et les mesures de protection recommandées.

Articles
·
13.05.2026
Le mythe de la « compensation » des investissements en cybersécurité
Sauvegarde des données: si nous payons pour une meilleure détection et réponse aux menaces, cela ne devrait-il pas réduire notre exposition aux incidents nécessitant une récupération ?
Articles
·
14.04.2026
14 avril 2026 - Le gouvernement du Canada lance le niveau 1 du Programme canadien de certification en cybersécurité
Ce jour 14 avril 2026, le gouvernement fédéral canadien lance officiellement la certification CPCSC (PCCC) Niveau 1 . Elle sera exigée dans les contrats fédéraux à partir de l’été 2026. CPCSC Niveau 1 est composée de 13 contrôles.

Votre sécurité mérite une conversation

Contactez-nous
AccueilPlateforme XDRStreamEnclaveEDRMDRRéponse aux incidentsCertification CMMCCertification PCCCPolitique de confidentialitéPolitique des cookies
PartenairesÀ proposCarrièresBlogueVidéos et webinairesOutilsLivres blancsRecherchesStratégie de cybersécuritéTest d'intrusionContactez-nous
Solutions de cybersécurité de pointes adaptées aux organisations qui évoluent dans des environnements complexes.
Logo de STREAMSCAN avec le slogan '100% pensé pour optimiser'.
StreamScan a besoin des informations que vous nous fournissez pour vous envoyer notre infolettre. Vous pouvez vous désabonner de nos communications à tout moment. Pour plus d'informations, consultez notre politique de confidentialité.